🎉 Early Bird: 50 posti Business rimasti · 100 posti Professional · prezzo bloccato per sempreScopri i prezzi →

Privacy Policy

Ultimo aggiornamento: 15 Aprile 2026

La presente Privacy Policy descrive come Quvila raccoglie, utilizza e protegge le informazioni. Questa policy si rivolge a due categorie di persone:

Titolare del Trattamento

Il Titolare del trattamento dei dati personali è:
Quvila
Email: [email protected]

Il Nostro Approccio: Privacy by Design

Quvila è progettato per raccogliere il minimo indispensabile di dati necessari a fornire il servizio. Ecco un riepilogo:

DatoRaccogliamoNON Raccogliamo
Indirizzo IP✗
Posizione GPS precisa✗
Cookie di tracciamento✗
Analytics di terze parti (Google, Facebook)✗
Dati carta di credito sui nostri server✗
Paese e città (da scansioni QR)✓ Anonimo
Tipo dispositivo, browser, OS✓ Anonimo
Email (solo utenti registrati)✓

A differenza di molti servizi, non raccogliamo indirizzi IP né utiliziamo cookie di profilazione. I dati delle scansioni QR sono completamente anonimi.

Per i Visitatori

Questa sezione riguarda chi scansiona un QR code o visita una landing page creata con Quvila, senza avere un account.

Quali dati raccogliamo quando scansioni un QR code

Quando scansioni un QR code creato con Quvila, raccogliamo esclusivamente dati anonimi e aggregati per fornire statistiche al proprietario del QR code:

  • Paese di provenienza (es. Italia, Germania)
  • Città (es. Milano, Roma)
  • Tipo di dispositivo (mobile, desktop, tablet)
  • Browser utilizzato (Chrome, Safari, ecc.)
  • Sistema operativo (iOS, Android, Windows)
  • Data e ora della scansione

Cosa NON raccogliamo (la tua privacy è protetta)

  • Nessun indirizzo IP - Non registriamo il tuo IP
  • Nessuna posizione GPS - Non tracciamo la tua posizione esatta
  • Nessun identificativo personale - Non sappiamo chi sei
  • Nessun cookie di tracciamento - Non ti seguiamo sul web
  • Nessun dato del provider - Non registriamo il tuo ISP

Perché raccogliamo questi dati

I dati anonimi servono esclusivamente per mostrare al proprietario del QR code statistiche aggregate come "50 scansioni dall'Italia, 30 da dispositivi mobili". Il proprietario del QR code non può in alcun modo identificarti personalmente.

Base giuridica

Poiché i dati raccolti sono completamente anonimi e non permettono in alcun modo di identificare una persona, il trattamento si basa sul legittimo interesse per finalità statistiche (Art. 6(1)(f) GDPR). I dati anonimi non sono considerati dati personali ai sensi del GDPR.

I tuoi diritti come visitatore

Poiché non raccogliamo dati personali identificativi, non è tecnicamente possibile esercitare diritti di accesso, rettifica o cancellazione su dati che non esistono. Se hai domande o dubbi, puoi comunque contattarci a [email protected].

Per gli Utenti Registrati

Questa sezione riguarda chi crea un account su Quvila per gestire QR code, landing page e siti web.

Dati che raccogliamo

Dati di registrazione

  • Indirizzo email
  • Nome (opzionale)
  • Password (crittografata con algoritmi sicuri)

Dati di fatturazione (se acquisti un piano)

  • Nome e cognome / Ragione sociale
  • Indirizzo di fatturazione
  • Codice fiscale / Partita IVA
  • I dati della carta di credito sono gestiti direttamente da Stripe e non transitano sui nostri server

Dati di utilizzo

  • QR code e landing page che crei
  • Statistiche aggregate delle scansioni dei tuoi QR code
  • File che carichi (immagini, loghi)

Finalità del trattamento

  • Fornitura del servizio: Gestire il tuo account, creare QR code, pubblicare landing page e siti web
  • Analytics: Mostrarti statistiche aggregate sulle scansioni dei tuoi QR code
  • Comunicazioni di servizio: Inviarti email relative al tuo account (conferma registrazione, recupero password, notifiche importanti)
  • Fatturazione: Elaborare i pagamenti e inviare fatture
  • Assistenza: Rispondere alle tue richieste di supporto

Base giuridica

  • Esecuzione del contratto (Art. 6(1)(b) GDPR): Per i dati necessari a fornirti il servizio che hai richiesto
  • Obbligo legale (Art. 6(1)(c) GDPR): Per i dati di fatturazione richiesti dalla normativa fiscale
  • Consenso (Art. 6(1)(a) GDPR): Per eventuali comunicazioni di marketing (opzionale, puoi rifiutare in qualsiasi momento)

I tuoi diritti

Ai sensi del GDPR (artt. 15-22), hai diritto di:

  • Accesso (Art. 15): Ricevere una copia completa dei tuoi dati personali. Puoi farlo in autonomia in qualsiasi momento da Account → Privacy & Dati → Scarica JSON/CSV.
  • Rettifica (Art. 16): Correggere dati inesatti o incompleti dal tuo profilo
  • Cancellazione / Oblio (Art. 17): Cancellare definitivamente il tuo account e tutti i dati associati in autonomia da Account → Privacy & Dati → Elimina il mio account. L'operazione è immediata, irreversibile e gratuita. Richiede conferma via password.
  • Portabilità (Art. 20): Ricevere i tuoi dati in formato strutturato e machine-readable (JSON o ZIP di CSV), pronto per essere trasferito a un altro servizio
  • Opposizione (Art. 21): Opporti a trattamenti basati su interesse legittimo
  • Limitazione (Art. 18): Limitare il trattamento in determinati casi
  • Revoca del consenso: Revocare il consenso in qualsiasi momento

✓ Self-service: Export e cancellazione sono disponibili direttamente dall'interfaccia, senza bisogno di contattarci. Nessuna password, nessuna procedura manuale, nessuna attesa.

Per domande o per esercitare diritti che non trovi in interfaccia, contattaci a [email protected]. Rispondiamo entro 30 giorni come richiesto dal GDPR.

Ciclo di vita del trial e dei tuoi dati

Al momento della registrazione ricevi automaticamente un periodo di prova gratuito di 30 giorni con tutte le funzionalità del piano PROFESSIONAL. Non è richiesta alcuna carta di credito. Il ciclo di vita dei dati segue tre fasi:

Fase 1 — Trial attivo (giorni 0-30)

Accesso completo a tutte le funzionalità PROFESSIONAL. Puoi creare, modificare, eliminare liberamente QR code, landing page, siti web, domini personalizzati, sottodomini, API key.

Fase 2 — Periodo cuscinetto read-only (giorni 31-40)

Se al termine del trial non hai sottoscritto un abbonamento, entri in un periodo di grazia di 10 giorni. Durante questa fase puoi:

  • Visualizzare tutti i tuoi contenuti (view-only)
  • Esportare i tuoi dati (Art. 15)
  • Cancellare definitivamente l'account (Art. 17)
  • Cancellare singoli contenuti in autonomia (pulsante cestino sempre attivo)
  • Sottoscrivere un abbonamento per sbloccare di nuovo tutte le funzionalità
  • Creare nuovi QR statici (equivalente al piano FREE)

Non puoi invece creare nuove risorse premium né modificare quelle esistenti. Durante gli ultimi 7 giorni di questo periodo ricevi avvisi di escalation per informarti dell'imminente cancellazione automatica.

Fase 3 — Cancellazione automatica (giorno 40)

Al termine dei 10 giorni di grazia, se non hai sottoscritto un abbonamento, i contenuti premium vengono automaticamente eliminati: QR code dinamici, landing page, siti web, domini personalizzati, sottodomini, API key, file caricati (inclusi gli oggetti su storage cloud). L'account viene riportato al piano FREE e i QR code statici (illimitati anche per FREE) sono preservati. L'account stesso continua a esistere: puoi rientrare in qualsiasi momento e sottoscrivere un piano.

Nota: se esercitì esplicitamente il diritto all'oblio (Art. 17) tramite il pulsante "Elimina il mio account", la cancellazione è totale e immediata: sparisce l'intero account, tutti i contenuti (anche QR statici), tutti i file, tutti i log anti-abuso. Nessun dato sopravvive.

Prevenzione degli abusi sul periodo di prova

Per impedire che la stessa persona apra più account trial consecutivi con email diverse, raccogliamo al momento della registrazione:

  • Email normalizzata: rimuoviamo punti e alias "+" dagli indirizzi Gmail per riconoscere varianti dello stesso indirizzo
  • Device fingerprint: un hash SHA-256 (con salt) di caratteristiche del browser (user agent, timezone, risoluzione schermo, ecc.). Non è un identificatore univoco persistente e non traccia l'utente su altri siti.
  • Indirizzo IP: solo al momento della registrazione, per verificare che il tentativo provenga da un'area geografica consentita

Base giuridica: interesse legittimo ex art. 6(1)(f) GDPR a prevenire abusi del servizio gratuito. Questi dati sono conservati come log di sicurezza separati e vengono immediatamente eliminati se l'utente cancella il proprio account tramite il diritto all'oblio (Art. 17).

Inoltre, ogni registrazione è protetta da CAPTCHA (Cloudflare Turnstile), rate limiting e lockout automatico dopo tentativi ripetuti falliti.


Informazioni Generali

Cookie

Utilizziamo esclusivamente cookie tecnici necessari per:

  • Mantenere la sessione di login degli utenti registrati
  • Ricordare le preferenze di lingua
  • Garantire la sicurezza del servizio

Il sito Quvila non utilizza cookie di profilazione propri, analytics di terze parti o tracciamento pubblicitario. I cookie tecnici non richiedono consenso ai sensi della normativa vigente.

Retargeting Pixels (funzionalità opzionale)

Gli utenti con piano Professional o Business possono facoltativamente aggiungere pixel di retargeting (Facebook, Google Ads, LinkedIn, Twitter/X, TikTok) ai propri QR code dinamici.

Quando un QR code con pixel attivi viene scansionato, prima dell'attivazione di qualsiasi cookie di terze parti viene richiesto il consenso esplicito all'utente che scansiona. L'utente può rifiutare e accedere comunque al contenuto senza alcun tracciamento.

I pixel di retargeting sono sotto la responsabilità del titolare del QR code (il nostro cliente), che agisce come titolare autonomo del trattamento per i dati raccolti tramite i propri pixel. Quvila agisce come responsabile del trattamento, limitandosi a fornire l'infrastruttura tecnica per l'iniezione del codice pixel previo consenso.

  • I pixel si attivano solo dopo il consenso dell'utente
  • Senza consenso, il redirect avviene senza alcun tracciamento
  • Quvila non ha accesso ai dati raccolti dai pixel di terze parti
  • I bot e i crawler non ricevono mai codice pixel

Condivisione con Terze Parti (Fornitori)

Condividiamo i dati solo con fornitori strettamente necessari per erogare il servizio:

Stripe (Pagamenti)

I pagamenti sono elaborati da Stripe, un processore di pagamenti certificato PCI-DSS. I dati della tua carta di credito non transitano e non sono mai memorizzati sui nostri server - vengono inviati direttamente a Stripe in forma crittografata.

Stripe può trasferire dati al di fuori dell'UE utilizzando le Clausole Contrattuali Standard approvate dalla Commissione Europea e il Data Privacy Framework UE-USA.

Privacy Policy di Stripe →

Hetzner (Hosting)

I nostri server sono situati in data center Hetzner a Falkenstein, Germania, nell'Unione Europea. I dati non escono mai dall'UE per quanto riguarda l'hosting.

Privacy Policy di Hetzner →

MaxMind (Geolocalizzazione anonima)

Utilizziamo il database GeoIP di MaxMind per determinare paese e città dalle scansioni QR. L'indirizzo IP viene elaborato in tempo reale e mai memorizzato - salviamo solo il risultato anonimo (es. "Italia, Milano").

Non vendiamo mai i tuoi dati a terzi per finalità pubblicitarie o di marketing.

Gestione dell'abbonamento e dei dati in caso di mancato pagamento

Se un abbonamento attivo (PROFESSIONAL o BUSINESS) non viene rinnovato a causa di un problema di pagamento (carta scaduta, fondi insufficienti, errore tecnico), il ciclo è il seguente:

Fase 1 — Tentativi automatici di pagamento (~21 giorni)

Stripe, il nostro processore di pagamenti, ritenta automaticamente l'addebito più volte nell'arco di circa 3 settimane. Durante questa fase il servizio resta completamente attivo senza alcuna limitazione. Ricevi email di avviso per aggiornare la carta.

Fase 2 — Periodo di grazia (30 giorni)

Se tutti i tentativi falliscono, il tuo piano resta attivo per ulteriori 30 giorni. Durante questa fase puoi aggiornare il metodo di pagamento e rinnovare senza interruzioni. Se rinnovi in questa fase, l'abbonamento riparte dalla data di scadenza originale (nessun giorno perso).

Fase 3 — Oscuramento contenuti (90 giorni di retention)

Trascorsi i 30 giorni di grazia senza rinnovo, il piano viene riportato a FREE. I contenuti premium (QR dinamici, landing page, siti, domini) vengono disattivati (non più accessibili pubblicamente) ma conservati nel database per 90 giorni. Se riattivi l'abbonamento durante questo periodo, tutti i contenuti vengono ripristinati automaticamente e l'abbonamento riparte dalla data di riattivazione.

Fase 4 — Cancellazione definitiva

Dopo i 90 giorni di retention senza riattivazione, i contenuti premium vengono eliminati permanentemente (QR dinamici, landing page, siti, domini, file caricati). I QR statici (disponibili anche nel piano FREE) e l'account stesso vengono preservati. Puoi in qualsiasi momento sottoscrivere un nuovo abbonamento e ripartire da zero.

Timeline totale: dall'ultimo pagamento fallito hai circa 141 giorni (21 retry + 30 grazia + 90 retention) prima della cancellazione definitiva dei contenuti. In qualsiasi momento puoi esportare i tuoi dati (Art. 15) o cancellare l'account (Art. 17) dalle impostazioni Privacy del tuo account.

Conservazione dei Dati

  • Dati account (profilo, email, password cifrata, preferenze): conservati fino alla cancellazione dell'account (automatica se mai utilizzato, oppure su richiesta esplicita in qualsiasi momento)
  • Contenuti premium per utenti trial: cancellati automaticamente 40 giorni dopo la registrazione (30 gg trial + 10 gg cuscinetto) se non convertiti in abbonamento
  • Contenuti premium per abbonati paganti: disattivati dopo 30 giorni di mancato pagamento, poi cancellati definitivamente dopo ulteriori 90 giorni di retention (circa 141 giorni totali dall'ultimo pagamento fallito)
  • Contenuti FREE (QR statici): conservati fino alla cancellazione dell'account
  • Dati analytics (scansioni QR): conservati per 24 mesi, poi cancellati automaticamente. GDPR-safe by design (no IP, no GPS, solo aggregati geo)
  • Dati di fatturazione: conservati per 10 anni come richiesto dalla normativa fiscale italiana (obbligo di legge, art. 2220 c.c.)
  • Log anti-abuso (fingerprint, normalizedEmail, IP di registrazione): conservati per 12 mesi dal momento della registrazione, oppure cancellati immediatamente se l'utente esercita il diritto all'oblio

Sicurezza

Adottiamo misure di sicurezza tecniche e organizzative per proteggere i dati:

  • Crittografia HTTPS per tutte le comunicazioni
  • Password crittografate con algoritmi sicuri (bcrypt)
  • Accesso ai dati limitato al personale autorizzato
  • Backup regolari dei dati
  • Server situati in data center certificati in Europa (Germania)
  • Autenticazione a due fattori disponibile per gli account

Modifiche alla Privacy Policy

Potremmo aggiornare questa Privacy Policy periodicamente. In caso di modifiche sostanziali, avviseremo gli utenti registrati via email e pubblicheremo un avviso sul sito. Ti invitiamo a consultare regolarmente questa pagina.

Contatti

Per domande sulla presente Privacy Policy o sul trattamento dei dati:

Email: [email protected]

Autorità di Controllo

Hai il diritto di presentare un reclamo all'Autorità Garante per la Protezione dei Dati Personali se ritieni che il trattamento dei tuoi dati violi la normativa applicabile.

Garante per la Protezione dei Dati Personali
www.garanteprivacy.it